1 Comité sectoriel de la Sécurité sociale et de la Santé Section « Santé » CSSSS17/027 DÉLIBÉRATION N° 11/053 DU 19 JUILLET 2011, MODIFIÉE EN DERNIER LIEU LE 21 FÉVRIER 2017, PORTANT SUR L’ÉCHANGE DE DONNÉES À CARACTÈRE PERSONNEL RELATIVES À LA SANTÉ ENTRE LES HÔPITAUX ET LES BANQUES DE DONNÉES E-CARE QERMID@TUTEURS CORONAIRES À L’INTERVENTION DE LA PLATE-FORME eHEALTH La section santé du comité sectoriel de la sécurité sociale et de la santé (dénommée ci-après « le Comité sectoriel »); Vu la loi du 15 janvier 1990 relative à l’institution et à l’organisation d’une Banquecarrefour de la sécurité sociale, en particulier l’article 37; Vu la loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel; Vu la loi du 21 août 2008 relative à l'institution et à l'organisation de la plate-forme eHealth; Vu la délibération n°11/053 rendue le 19 juillet 2011, modifiée en dernier lieu le 20 mars 2012; Vu la demande de modification de la délibération précitée du 19 juin 2012; Vu le rapport d’auditorat de la Plate-forme eHealth du 8 février 2017; Vu le rapport de Monsieur Yves Roger; Émet, après délibération, la décision suivante, le 21 février 2017: I. OBJET DE LA DEMANDE 2 1. L’application E-Care QERMID@tuteurs coronaires est l’application de l’Institut national d’assurance maladie-invalidité (dénommé ci-après « INAMI ») qui doit permettre l’enregistrement de données individuelles et médicales liées concernant les angioplasties avec ou sans tuteurs coronaires implantés. 2. Grâce à cette application, les différents hôpitaux disposeront rapidement et aisément des données qui leurs sont nécessaires, ce qui augmentera la qualité des soins médicaux apportés à leurs patients. Elle permettra également de simplifier la procédure de demande de remboursement des tuteurs coronaires, et ce en la rendant complètement électronique. 3. Un tel projet s’inscrit dans le cadre de la mise en œuvre par l’INAMI d’un ensemble de registres automatisés alimentés par des applications Web (applications Quality oriented Electronic Registration of Medical Implants and invasive Devices QERMID) à la pose de certains implants. Ces registres reprennent toute une série de données à caractère personnel concernant les patients ayant subi des opérations d’implantations qui doivent encore faire l’objet d’une décision de remboursement de l’INAMI ou qui doivent être notifiées aux organismes assureurs pour être admissibles au remboursement au titre de l’assurance obligatoire soins de santé. 4. Afin de faciliter et accélérer l’enregistrement et le remboursement des tuteurs coronaires implantés, il a donc été décidé de créer une application Web qui permettra aux hôpitaux de disposer rapidement et aisément des données nécessaires à leur pratique médicale, d’enregistrer les données personnelles, médicales et matérielles des patients et d’envoyer directement une demande de remboursement à l’organisme assureur du patient. En parallèle, un système « System-to-System » sera également développé. Il permettra aux hôpitaux disposant d’un système propre d’envoyer directement les données de leur système vers le système QERMID. 5. Le Comité sectoriel a autorisé, par ses délibérations n°09/073 du 15 décembre 2009 et n°11/015 du 15 février 2011, pour des finalités comparables (il s’agissait de pacemakers, de défibrillateurs et d’endoprothèses vasculaires implantées dans le cadre du traitement des anévrismes des sections thoracales et abdominales de l’aorte et des lésions pouvant survenir au niveau des artères iliaques), la communication entre les hôpitaux, les organismes assureurs, le Collège des médecins-directeurs de l’INAMI, la plate-forme eHealth, et le Collège intermutualiste national1. 1° Acteurs concernés et rôles 6. Différents acteurs liés au remboursement des tuteurs coronaires pourront avoir accès à cette application, chacun avec un rôle différent. Pour chacun d’entre eux, des droits d’accès et des responsabilités ont été attribuées. a) les hôpitaux 7. 1 Pour prétendre au remboursement des prestations liées aux dilatations coronaires avec ou sans placement de tuteur coronaire, les hôpitaux doivent préalablement répondre aux conditions décrites dans la nomenclature des prestations de santé en matière Ces délibérations peuvent être consultées sur le site Internet https://www.ehealth.fgov.be. 3 d'assurance obligatoire soins de santé et indemnités2 et être admis sur une liste de centres implanteurs3. 8. Au sein des hôpitaux, quatre sous-groupes d’acteurs peuvent être identifiés, le cardiologue responsable pour la cardiologie interventionnelle (ou son remplaçant en cas d’absence), les médecins-spécialistes implanteurs, les collaborateurs administratifs et les pharmaciens hospitaliers. Le cardiologue responsable pour la cardiologie interventionnelle et son remplaçant pourront introduire les données à caractère personnel concernées dans le système. Ils seront, en outre, les seuls à pouvoir signer le dossier et ainsi l’envoyer dans le système. Les médecins-spécialistes implanteurs pourront introduire les données liées à la demande de remboursement (données personnelles, médicales et matérielles) dans le système E-Care QERMID@tuteurs coronaires. Ils ne pourront par contre pas signer le dossier. L’encodage des données du suivi pourra uniquement se faire dans le centre qui a pratiqué l’implantation. Les collaborateurs administratifs et les pharmaciens hospitaliers pourront également introduire ces données dans E-Care QERMID@tuteurs coronaires (ils agiront en tant que personnes déléguées et sous la responsabilité d’un médecin-spécialiste(cardiologue responsable ou médecin-spécialiste implanteur) mais n’auront pas le droit de signer le dossier ni de l’envoyer, ceci relèvera en effet, comme indiqué supra, de la compétence du cardiologue responsable (ou de son remplaçant) . Ils pourront consulter toutes les données de demandes de remboursement et de suivi pour lesquelles il existe un lien thérapeutique entre le médecin-spécialiste pour lequel ils sont mandatés et le patient. Les médecins-spécialistes implanteurs pourront consulter les dossiers des patients avec lesquels ils ont un lien thérapeutique (cf. infra). 9. Les hôpitaux pourront donc consulter les dossiers qu’ils ont eux même introduits mais également les dossiers concernant un tuteur coronaire introduits par un hôpital disposant de l’agrément requis pour autant qu’il existe un lien thérapeutique entre le patient et le médecin en question (cf. infra). Les dossiers pourront être consultés via le numéro d’identification à la sécurité sociale du patient (dénommé ci-après « NISS »), le code d’enregistrement (identifiant unique d’une demande jusqu’à son remboursement) ou via une recherche par critères. b) les organismes assureurs 10. 2 Les organismes assureurs n’introduiront aucune donnée dans l’application E-Care QERMID@tuteurs coronaires. Ils consulteront et contrôleront uniquement les données des patients qui sont affiliés chez eux. Ils n’ont donc en aucun accès aux données de patients qui sont affiliés à d’autres organismes assureurs. Annexe à l'arrêté royal du 14 septembre 1984 établissant la nomenclature des prestations de santé en matière d'assurance obligatoire soins de santé et indemnités. 3 Articles 35, § 11ter et 35bis, §12ter,, de la nomenclature des soins de santé. Les prestations ne seront remboursables que dans une institution de soins qui dispose de l’agrément accordé par l’autorité compétente pour les programmes B2 et B3 du programme de soins « pathologie cardiaque ». 4 11. 12. C’est le Collège intermutualiste national (dénommé ci-après « CIN ») qui sera chargé, grâce au NISS du patient, de mettre à la disposition des organismes assureurs les données de ses affiliés. Au sein des organismes assureurs, deux sous-groupes d’acteurs peuvent être identifiés, le personnel administratif et le médecin-conseil. Le personnel administratif est responsable du contrôle administratif du patient, à savoir le contrôle de l’assurabilité de celui-ci. L’implant ne pourra uniquement être remboursé que si le résultat du contrôle de l’assurabilité est positif. Le contrôle administratif se fera grâce aux données consultables via le CIN (et non via l’application Web). Le médecin-conseil pourra consulter, via le CIN, les données liées aux demandes de remboursement. c) l’INAMI 13. Le Service des soins de santé de l’INAMI suivra les nombres d’interventions, en particulier le nombre de cas de « réintervention » et l’enregistrement des données de suivi. Pour suivre le nombre de cas de « réintervention », un pourcentage maximum est prévu4. Pour contrôler ce pourcentage, le Service des soins de santé recevra de l’application des données chiffrées par hôpital. Le Service des soins de santé pourra alors prendre toutes les dispositions nécessaires afin d’avertir les hôpitaux. 14. Les deux gestionnaires de données médicales du service implants et dispositifs médicaux pourront, sur demande ou périodiquement, recevoir des données codées ainsi que des statistiques prédéfinies via l’application Web. Grâce à celles-ci, l’INAMI pourra correctement suivre, adapter et évaluer la nomenclature des prestations de santé. d) le Collège des médecins 15. Il est créé, conformément au prescrit de l’arrêté royal du 15 février 1999 relatif à l’évaluation qualitative de l’activité médicale dans les hôpitaux5, un Collège de médecins pour chaque service médico-technique, service, fonction et programme de soins6. 16. Les Collèges des médecins ont notamment pour mission: - 4 la mise en œuvre d’un modèle d’enregistrement informatisé; l’élaboration d’indicateurs de qualité et critères d’évaluation relatifs à une pratique médicale adéquate. Ces critères concernent, entre autres, l’infrastructure, le personnel, la pratique médicale pour l’ensemble du service médico-technique, du Article 35, § 11ter, de la nomenclature des soins de santé. Arrêté royal du 15 février 1999 relatif à l’évaluation qualitative de l’activité médicale dans les hôpitaux, M.B., 25 mars 1999, p. 09552. 6 Chaque Collège est composé de médecins nommés pour une durée de six ans. Pour les programmes de soins « pathologie cardiaque », le Collège des médecins compte quatorze membres, pour la partie « cardiologie nonchirurgicale », il y a huit membres. 5 5 - service de la fonction ou du programme de soins ou de la spécialité, ainsi que leurs résultats; la rédaction d’un rapport annuel national contenant des données pertinentes; la fourniture aux hôpitaux et aux médecins du service médico-technique, du service, de la fonction ou du programme de soins concerné, d’un feed back des données tant en ce qui concerne les indicateurs de la qualité, les critères d’évaluation que l’utilisation des moyens. 17. Dans le cadre de l’application E-Care QERMID@tuteurs coronaires, le Collège des médecins pourra, sur demande ou périodiquement, recevoir des données via celle-ci. Grâce à ces informations, il pourra élaborer et suivre les indicateurs de qualités et les critères d’évaluation. Ces données lui permettront aussi de rédiger son rapport annuel national. 18. Comme indiqué supra, seuls les hôpitaux enregistreront des données dans E-Care QERMID@tuteurs coronaires. Ils devront dans un premier temps envoyer les données concernant l’intervention pour se faire rembourser et ensuite envoyer les données de suivi (le suivi a lieu 1 an après l’intervention). 19. L'INAMI a constaté que les prestataires de soins concernés doivent régulièrement se faire aider lors de l'enregistrement des données et lors de la correction des données enregistrées dans la banque de données Tuteurs coronaires. Toutefois, ceci n'est possible que si la partie aidante a accès aux données à caractère personnel qui sont disponibles dans le système. Un nouveau rôle a été créé à cet effet, plus particulièrement pour les responsables du Collège des médecins-directeurs ou pour leur collaborateur administratif qui y est autorisé par le conseiller en sécurité de l’INAMI au moyen de l’application adéquate de la Plate-forme eHealth. Les responsables du Collège des médecins-directeurs ou le collaborateur administratif autorisé aura accès aux données enregistrées afin d’accompagner et d’aider le prestataire ou son collaborateur administratif lors de l’enregistrement et de la correction. L'accès fait l’objet d'une prise de logs et est uniquement possible moyennant la demande écrite du prestataire de soins (par mail) au service concerné de l’INAMI. Le prestataire de soins autorisé demeure responsable pour la validation et l’envoi des données à la banque de données Tuteurs coronaires. 2° Intervention de la plate-forme eHealth 20. La plate-forme eHealth est une institution publique qui a pour mission de promouvoir et de soutenir une prestation de services et un échange d'information mutuels électroniques bien organisés entre tous les acteurs des soins de santé avec les garanties nécessaires en ce qui concerne la sécurité de l'information, la protection de la vie privée du patient et du prestataire de soins et le respect du secret médical. À cet effet, elle propose divers services de base à tous les acteurs du secteur des soins de santé et leurs prestataires de services ICT. Ceux-ci peuvent les utiliser gratuitement afin de développer des services à la valeur ajoutée ou ouvrir des sources authentiques validées. 21. Dans le cadre de l’application E-Care QERMID@tuteurs coronaires, il sera fait appel aux services de base suivants: le site portail, la gestion intégrée des utilisateurs et des accès, la gestion des loggings, le service Web Mazda (Medical Authorizations Data Access), le Système de cryptage end-to-end et le Secure Token Service. 6 3° Données à caractère personnel concernées 22. Dans le cadre l’application E-Care QERMID@tuteurs coronaires, certaines données à caractère personnel devront faire l’objet d’un enregistrement. Il s’agit de: - données personnelles relatives au patient, à savoir: le NISS, la date de naissance, le sexe, le nom, le prénom, l’adresse et la date de décès; - données relatives à l’hôpital responsable de l’implantation du tuteur coronaire (nom, adresse, numéro d’agrément); données relatives au médecin-spécialiste implanteur qui a procédé à l’intervention (prénom, nom, numéro INAMI); données médicales, c’est-à-dire la taille, le poids, l’indice de masse corporelle (calculé automatiquement à partir des deux données précédentes), antécédents cardiovasculaires (angor chronique, insuffisance rénale, angioplastie coronaire, pontage aorto-coronaire, valvulopathie, infarctus myocarde avec onde q, insuffisance cardiaque stade ¾, accident vasculaire cérébral, artériopathie périphérique), facteurs de risques (tabagisme, diabète, hypertension, hypercholestérolémie); - - données relatives à l’admission. Celles-ci sont réparties en deux groupes: les informations et la médication. S’agissant des informations, seront enregistrées: la date et heure d’admission, la date et heure des premiers symptômes (obligatoire uniquement pour certaines indications), la date et heure du premier contact médical (obligatoire uniquement pour certaines indications), le transfert d’un autre hôpital, choc cardiogénique à l’admission, le support inotrope à l’admission, la fonction ventriculaire gauche (FEVG); Les médications enregistrées sont les suivantes: aspirine, autre inhibiteur plaquettaire, anticoagulant, Béta-bloquant, inhibiteur Enzyme de conversion, inhibiteur Récepteur Angiotensine, autre agent hypertenseur ou antiangoreux, traitement diabète, statine, autre agent hypoalipémiant, nitrés – molsidomine, diurétique, antagoniste calcique; - données relatives à la procédure de dilatation. Celles-ci sont réparties en quatre groupes: anatomie coronaire (par différents schémas, l’utilisateur désigne les segments coronaires qui seront traités) et maladie, information et médication (intervention initiale ou supplémentaire – il peut y avoir plusieurs interventions par hospitalisation –, date et heure PCI, indication pour intervention coronaire percutanée, indication si intervention supplémentaire, volume de contraste administré, aspirine, autre inhibiteur plaquettaire, délai d’admission, angiox – bivalirudine –, fondaparinux, anti Vitamine K, inhibiteur GP IIb/IIIa, héparine non fractionnée, héparine à bas poids moléculaire, agents inotropes, autres médicaments), résultats (pour chaque segment sélectionné dans anatomie coronaire, il faut thrombose du stent, resténose intra-stent, classification Medina, le débit coronaire avant ACP (TIMI), Débit coronaire après ACP (TIMI),Sténose après ACP (%), Sténose avant ACP (%), Cathéter ballon (oui/non + nombre), BMS (oui/non + nombre + code d’identification), DES (oui/non + nombre + code 7 d’identification), Autres types (oui/non + nombre + étude), Diamètre max du ballon, Longueur totale traitée), détails ACP (outil d’hémostase artériel, opérateur 1, opérateur 2, numéro de procédure interne, type ACP, abord artériel percutané, instrument diagnostique utilisé, instrument thérapeutique utilisé, complications périprocédurales – patient et coronaires; - - - des informations et médications relatives à la sortie: Complication vasculaire locale, Elévation des enzymes myocardiques post ACPInfarctus avec onde QHémorragie nécessitant transfusion, accident vasculaire cérébral, insuffisance rénale nécessitant dialyse, thrombose (sub)aiguë du stent + datePontage aortocoronaire + dateEtat de sortie, date de sortie de l’hôpital, cause de décès, orientation à la sortie, médication à la sortie, aspirine, autre inhibiteur plaquettaire, anticoagulant, Béta-bloquant, inhibiteur Enzyme de conversion, inhibiteur Récepteur Angiotensine, autre agent hypertenseur ou antiangoreux, traitement diabète, statine, autre agent hypolipémiant, nitrés – molsidomine, diurétique, antagoniste calcique, durée du traitement par bi-thérapie antiplaquettaire; lors du suivi seront échangées les données suivantes: aucun contact, date du suivi, état au suivi, date du décès, cause du décès, nombre d’hospitalisation durant le suivi, date de la première hospitalisation depuis la sortie, infarctus myocardique (+ date), accident vasculaire cérébral (+ date), angioplastie coronaire (+ date), pontagoe aorto-coronaire (+ date), thrombose (tardive) du stent (+ date), aspirine, autre inhibiteur plaquettaire, anticoagulant, béta-bloquant, inhibiteur Enzyme de conversion, inhibiteur Récepteur Angiotensine, autre agent hypertenseur ou antiangoreux, traitement diabète, statine, autre agent hypolipémiant; donnée liée au remboursement: indication de la prestation de remboursement à laquelle la personne concernée a droit. II. COMPÉTENCE 23. L’article 11 de la loi du 21 août 2008 relative à l’institution et à l’organisation de la plate-forme eHealth7 dispose que toute communication de données à caractère personnel par ou à la plate-forme eHealth requiert une autorisation de principe de la section santé du comité sectoriel de la sécurité sociale et de la santé, sauf dans quelques cas exceptionnels. 24. En vertu de l’article 42, § 2, 3°, de la loi du 13 décembre 2006 portant dispositions diverses en matière de santé8, la section santé du comité sectoriel de la sécurité sociale et de la santé est en principe compétente pour l’octroi d’une autorisation de principe concernant toute communication de données à caractère personnel relatives à la santé. Vu la communication visée de données à caractère personnel relatives à la santé, tel qu’exposé sous I., le Comité sectoriel s’estime compétent pour traiter la demande d’autorisation introduite par l’INAMI. 25. Cependant, en ce qui concerne la consultation de la banque de données E-Care QERMID@tuteurs coronaires par lecardiologue responsable (ou son remplaçant), le médecin-spécialiste implanteur et ses collaborateurs administratifs, l’on peut renvoyer à 7 Loi du 21 août 2008 relative à l’institution et à l’organisation de la plate-forme eHealth, M.B., 13 novembre 2008, p. 54454. 8 Loi du 13 décembre 2006 portant dispositions diverses en matière de santé, M.B., 22 décembre 2006, p. 73782. 8 l’article 42, § 2, 3°, de la loi précitée du 13 décembre 2006 en vertu duquel une autorisation de principe du Comité sectoriel n’est pas requise « si la communication est effectuée entre des professionnels des soins de santé qui sont tenus au secret professionnel et qui sont associés en personne à l'exécution des actes de diagnostic, de prévention ou de prestation de soins à l'égard du patient » ainsi qu’à l’article 11, alinéa 1er, 2°, de la loi précitée du 21 août 2008 en vertu duquel une communication de données à caractère personnel par ou à la plate-forme eHealth ne requiert pas d’autorisation de principe de la section santé du comité sectoriel de la sécurité sociale et de la santé « lorsque la communication est autorisée ou est exemptée d’une autorisation de principe conformément à une disposition légale ou réglementaire ». 26. L’exception en question s’applique pour E-Care QERMID@tuteurs coronaires lorsqu’il est satisfait, de manière cumulée, aux conditions suivantes: - - - 27. les données à caractère personnel en question peuvent uniquement être consultées par le cardiologue responsable, le médecin-spécialiste implanteur et ses collaborateurs administratifs des hôpitaux autorisés à utiliser l’application E-Care QERMID@tuteurs coronaires; la consultation est nécessaire à la réalisation de leur diagnostic ou à l’administration de soins ou de traitement au patient (c’est-à-dire qu’ils ont besoin des données à caractère personnel relatives à la santé concrètes pour le traitement d’un patient qui se présente chez eux et qui s’identifie de manière suffisante); le cardiologue responsable, le médecin-spécialiste implanteur et ses collaborateurs administratifs sont tenus au secret professionnel. Le Comité sectoriel estime que le cardiologue responsable, le médecin-spécialiste implanteur et ses collaborateurs administratifs satisfont à ces trois conditions et que, par conséquent, une autorisation de principe du Comité sectoriel n’est pas requise pour cette communication. III. EXAMEN DE LA DEMANDE A. LICÉITÉ 28. Le traitement de données à caractère personnel relatives à la santé est en principe interdit, et ce conformément au prescrit de l’article 7, § 1er, de la LVP. 29. L’interdiction posée ne s’applique toutefois pas, en autres lorsque le traitement est nécessaire à la réalisation d’une finalité fixée par ou en vertu de la loi, en vue de l’application de la sécurité sociale9 et lorsque le traitement est nécessaire aux fins de médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements soit à la personne concernée, soit à un parent, ou de la gestion de services de santé agissant dans l'intérêt de la personne concernée10. B. FINALITÉ 30. L’article 4, § 1er, 2°, de la LVP, n’autorise le traitement de données à caractère personnel que pour des finalités déterminées, explicites et légitimes. 9 Article 7, § 2, c). Article 7, § 2, j). 10 9 En l’espèce, le Comité sectoriel constate que l’enregistrement en ligne des demandes de remboursement d’implants poursuit bel et bien des finalités légitimes, à savoir: - - la suppression des documents papier (simplification administrative); la collecte en ligne des données permettant de suivre l’application de la nomenclature des prestations de santé et permettant une analyse et une évaluation des technologies médicales qui sont soumises à l’enregistrement, et ce en association avec les associations scientifiques; la fourniture à l’INAMI d’un instrument pour la gestion du budget ; la mise à disposition rapide et aisée aux hôpitaux des données nécessaires à leur pratique médicale, ceci dans le but d’améliorer la qualité des soins pour le patient. C. PROPORTIONNALITÉ 31. L’article 4, § 1er, 3°, de la LVP dispose que les données à caractère personnel doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont obtenues et pour lesquelles elles sont traitées ultérieurement. 32. Toutes les données personnelles du patient sont indispensables pour que le patient puisse être identifié, et le cas échéant, être contacté. Le NISS permettra de consulter facilement les données déjà enregistrées E-Care QERMID@tuteurs coronaires. Lors de sa délibération du 17 novembre 2010, le Comité sectoriel du Registre national a autorisé, pour une durée indéterminée, l’INAMI, en vue de l’accomplissement des finalités indiquées supra, à avoir un accès permanent à certaines informations (nom, prénom, date de naissance, résidence principale, sexe, date de décès) en ce compris la communication automatique des modifications intervenues sur ces données et à utiliser NISS. La date de décès est une donnée essentielle afin d’évaluer la technique ainsi que pour le suivi. 33. Les données relatives à l’hôpital responsable de l’implantation du tuteur coronaire permettent d’identifier l’hôpital et son agrément. 34. S’agissant des données à caractère personnel relatives à la santé présentées supra, le demandeur souligne qu’il s’agit là de données essentielles pour pouvoir suivre l’application de la nomenclature des prestations de santé. Elles sont également nécessaires à la gestion du budget. Le demandeur indique également que les données qui seront enregistrées pour la mission du Collège des médecins (telle qu’elle est décrite au point 17) font pour la plupart partie des standards européens pour l’enregistrement de données en cardiologie11 spécifiques aux angioplasties. Les autres données, telles que la classification Medina, sont de bons indicateurs du suivi de la pratique médicale. 35. 11 Le Comité sectoriel constate que la communication de données à caractère personnel précitées entre les utilisateurs de l’application E-Care QERMID@tuteurs coronaires Cardiology Audit and Registration Data Standards (CARDS). 10 sont pertinentes et non excessives par rapport à ces finalités, pour autant que tout utilisateur autorisé ait besoin des données précitées afin de remplir ses missions. 36. Le Comité sectoriel estime qu'il est acceptable que, moyennant la demande écrite du prestataire de soins, le responsable du Collège des médecins-directeurs ou un collaborateur administratif qui y a été autorisé par le conseiller en sécurité de l’INAMI, ait accès aux données enregistrées afin d'aider le prestataire de soins à réaliser un enregistrement correct ou à effectuer une correction. 37. Le Comité sectoriel insiste sur le fait que le tableau relatif aux rôles et aux accès à certaines données en annexe de cette délibération doit être appliqué stricto sensu, et de manière limitative. Toute modification devra faire l’objet d’une nouvelle autorisation du Comité sectoriel. D. TRANSPARENCE 38. L’accès aux informations se trouvant dans l’application E-Care QERMID@tuteurs coronaires est limité en fonction du principe selon lequel les utilisateurs de l’application peuvent uniquement consulter les informations relatives aux patients dont ils ont strictement besoin dans le cadre de l’exécution de leurs tâches. 39. Au sein des hôpitaux, afin de protéger ces informations qui sont par nature sensibles et confidentielles, l’application E-Care QERMID@tuteurs coronaires ne permettra l’accès aux données en consultation (données de l’hospitalisation et données de suivi) et l’encodage de celles-ci seulement après que la preuve de l’existence du lien thérapeutique entre le médecin consultant ou encodeur et le patient n’ai été faite. 40. Le patient sera associé aux membres de l’équipe soignante par différentes relations thérapeutiques. Dans pareil milieu, la preuve d’une relation thérapeutique avec un prestataire de soins spécifique peut être fournie par l’inscription dans l’hôpital ou la lecture de la carte Système Information Sociale (SIS) ou de la carte d’identité électronique du patient (eID). Cela ne signifie cependant pas que tous les médecins au sein de l'hôpital, y compris les médecins qui ne sont pas associés au traitement du patient, peuvent invoquer cette preuve de l’existence d’une relation thérapeutique en vue d’accéder aux données relatives à la santé du patient concerné. 41. La preuve de la relation thérapeutique au niveau de l’hôpital par l’inscription ou la lecture de la carte SIS/de l’eID, n’a pas d’impact sur le droit d’autodétermination du patient ou sur le droit d’information préalable du patient concernant la portée de la gestion des utilisateurs et des accès appliquée. 42. Le Comité sectoriel considère qu’il n’est pas nécessaire que le patient autorise par écrit son médecin spécialiste d’une part à introduire ses données dans le système, et d’autre part à ce que ses données soient sauvegardées dans l’application E-Care QERMID@tuteurs coronaires et compulsées dans un cadre thérapeutique et d’évaluation pour le remboursement. En effet, conformément à l’article 7, § 2, c) et j), de la LVP, les échanges précités sont autorisés par la loi. Par ailleurs, les données sont traitées sous la surveillance d'un professionnel des soins de santé. 11 43. Par conséquent, le Comité sectoriel estime que le consentement du patient à fournir ses données en vue de recevoir un remboursement n’est pas requis et que les droits du patient découlant de la protection de sa vie privée ne sont pas déforcés par cette absence (notamment grâce à la surveillance par un professionnel des soins de santé et au contrôle des utilisateurs et des accès a priori par la plate-forme eHealth). 44. Enfin, le Comité sectoriel estime qu’exiger un consentement écrit du patient entraînerait des charges administratives inutiles et ne permettrait pas de rencontrer le but de simplification administrative. E. MESURES DE SÉCURITÉ 45. Conformément à l’article 7, § 4, de la LVP, le traitement de données à caractère personnel relatives à la santé peut uniquement être effectué sous la surveillance et la responsabilité d’un professionnel des soins de santé. Même si cela n’est pas strictement requis par la LVP, le Comité sectoriel estime qu’il est préférable de traiter de telles données sous la responsabilité d’un médecin12. Ce qui est le cas en l’espèce. Le Comité sectoriel rappelle que lors du traitement de données à caractère personnel, le professionnel des soins de santé ainsi que ses préposés ou mandataires sont soumis au secret13. 46. Conformément à l’article 16, § 4, de la LVP, l’INAMI doit prendre toutes les mesures techniques et organisationnelles requises pour protéger les données à caractère personnel. Ces mesures devront assurer un niveau de protection adéquat compte tenu, d’une part, de l’état de la technique en la matière et des frais qu’entraînent l’application de ces mesures et, d’autre part, de la nature des données à protéger et des risques potentiels. 47. Afin d’assurer la confidentialité et la sécurité du traitement des données, tout organisme qui conserve, traite ou communique des données à caractère personnel est tenu de prendre des mesures dans les dix domaines d’action liés à la sécurité de l’information suivants: politique de sécurité; désignation d’un conseiller en sécurité de l’information; organisation et aspects humains de la sécurité (engagement de confidentialité du personnel, informations et formations régulières du personnel sur le thème de la protection de la vie privée et sur les règles de sécurité); sécurité physique et de l’environnement; sécurisation des réseaux; sécurisation logique des accès et des réseaux; journalisation, traçage et analyse des accès; surveillance, revue et maintenance; système de gestion des incidents de sécurité et de la continuité (systèmes de tolérances de panne, de back up, …); documentation14. 12 Le Comité sectoriel a formulé cette préférence dans sa délibération n°07/034 du 4 septembre 2007 relative à la communication de données à caractère personnel au Centre fédéral d’expertise des soins de santé en vue de l’étude 2007-16-HSR « étude des mécanismes de financement possibles pour l’hôpital de jour gériatrique ». 13 Art. 7, § 4, de la LVP. 14 Mesures de référence en matière de sécurité applicables à tout traitement de données à caractère personnel, document établi par la Commission de la protection de la vie privée disponibles à l’adresse: http://www.privacycommission.be/fr/static/pdf/mesures-de-r-f-rence-vs-01.pdf 12 48. Pour envoyer les données concernées de l’hôpital vers le registre E-Care, il sera fait appel au protocole HTTPS. Celui-ci permet d’échanger des informations entre deux ordinateurs de façon sécurisée. C’est un système qui garanti la confidentialité (il est impossible d’espionner les informations échangées), l’intégrité (il est impossible de truquer les informations échangées), l’authentification (il permet de s’assurer de l’identité du programme, de la personne ou de l’entreprise avec laquelle on communique). 49. Il est à noter que c’est la plate-forme eHealth qui va conserver les loggings relatifs aux communications faites aux différents utilisateurs dans lesquels il est notamment enregistré à quel moment et au sujet de quelle personne des données à caractère personnel sont communiquées. 50. Les différents acteurs impliqués (les hôpitaux, …) sont quant à eux tenus de conserver des loggings plus détaillés, contenant par communication une indication de quelle personne a obtenu quelles données à caractère personnel concernant quelle personne à quel moment et pour quelle finalité. 51. Ces loggings seront conservés pendant dix ans au moins en vue du traitement de plaintes éventuelles ou de la constatation d'irrégularités éventuelles en ce qui concerne le traitement des données à caractère personnel. Les loggings mêmes doivent être protégés au moyen de mesures garantissant la confidentialité, l’intégralité et la disponibilité. Ils devront être transmis au Comité sectoriel et à la plate-forme eHealth à leur demande. 52. Le conseiller en sécurité désigné pour l’entièreté de l’application auprès de l’INAMI et le responsable du traitement peuvent accéder aux loggings précités relatifs à une période déterminée afin de détecter des abus éventuels. 53. Les hôpitaux doivent tenir à la disposition du Comité sectoriel et de la plate-forme eHealth, un plan de sécurité d’information. 54. À condition qu’elles soient appliquées de manière correcte et intégrale, le Comité sectoriel estime que les mesures de sécurité précitées sont suffisantes et permettent de garantir la confidentialité et la sécurité du traitement de données à la lumière des dispositions de la LVP. 55. Le Comité sectoriel rappelle qu’il est interdit, conformément à l’article 6 de l’arrêté royal du 13 février 2001 portant exécution de la loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel15, d’entreprendre toute action visant à convertir les données à caractère personnel codées qui ont été communiquées en données à caractère personnel non codées. Le non-respect de cette interdiction est assorti d’une amende variant de cent à cent mille euros en vertu de l’article 39, 1°, de la LVP. Le Comité sectoriel rappelle également qu’en cas de condamnation du chef d'infraction à l'article 39, le juge peut prononcer la confiscation des supports matériels des données à caractère personnel formant l'objet de l'infraction, (fichiers manuels, disques et bandes magnétiques, …) ou ordonner l'effacement de ces données. Le juge peut également interdire de gérer, 15 Arrêté royal du 13 février 2001 portant exécution de la loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel, M.B., 13 mars 2001, p. 07839. 13 personnellement ou par personne interposée, et pour deux ans au maximum, tout traitement de données à caractère personnel16. F. INTERVENTION DE LA PLATE-FORME eHEALTH 56. Le Comité sectoriel a déjà donné une autorisation générale, en date du 20 janvier 2009, concernant l’application de la gestion intégrée des utilisateurs et des accès, d’une part, et l’échange de données à caractère personnel nécessaires relatives à l’identité, aux caractéristiques, aux mandats et aux autorisations des parties concernées, d’autre part17. 57. Il en a fait de même par sa délibération n° 10/045 du 15 juin 2010 relative à l’application du service de base d’horodatage électronique par la plate-forme eHealth pour l’utilisation du timestamping18. 58. Ce volet fait donc déjà l’objet d’autorisations. 59. Dans le cadre de l’application E-Care QERMID@ tuteurs coronaires, il sera fait appel aux services de base de la plate-forme eHealth suivants: le site portail, la gestion intégrée des utilisateurs et des accès, la gestion des loggings et le service web Mazda (Medical Authorizations Data Access), le Système de cryptage end-to-end et le Secure Token Service. 60. Les utilisateurs s’annonceront dans E-Care QERMID@tuteurs coronaires via la plateforme eHealth au moyen de leur eID. Concrètement, il sera procédé de la manière suivante: 61. La plate-forme eHealth vérifiera tout d’abord, à l’aide du NISS de l’utilisateur, quelle est la qualification de ce dernier selon les sources authentiques validées (fichier des prestataires de soins, cadastre des professions de santé, fichier des institutions de soins, registre national et la banque de données à caractère personnel Responsibility Management for Public Health (REMAPH)). Il est donc vérifié à cet effet s’il s’agit effectivement d’un médecin spécialiste, d’un collaborateur administratif ou d’un pharmacien agissant sous la responsabilité d’un médecin spécialiste. 62. Une fois ces sources consultées et dès que le login est correct, la plate-forme eHealth transmettra les informations disponibles concernant cet utilisateur à E-Care QERMID@tuteurs coronaires. Cette dernière comparera ensuite ces informations avec sa liste des rôles utilisateurs autorisés et avec les fonctions connues (les droits d'accès et les responsabilités y afférents) pour ces rôles utilisateurs afin de déterminer l’accès de celui-ci au système. L’ensemble des utilisateurs autorisés ont en effet suivant leur rôle accès à certaines données. Un tableau détaillé par acteurs relatif à cet accès figure en annexe de cette délibération. 16 Article 41 de la LVP. Délibération n° 09/008 du 20 janvier 2009 relative à l’application de la gestion intégrée des utilisateurs et des accès par la plate-forme eHealth lors de l’échange de données à caractère personnel, disponible sur le site de la Commission de la protection de la vie privée http://www.privacycommission.be/fr/ 18 Délibération n° 10/045 du 15 juin 2010 relative à l’application du service de base d’horodatage électronique par la plate-forme eHealth pour l’utilisation du timestamping, disponible sur le site de la Commission de la protection de la vie privée http://www.privacycommission.be/fr/ 17 14 63. Une fois que l’utilisateur sera correctement identifié, authentifié et autorisé, il aura accès à l’application E-Care QERMID@tuteurs coronaires. Par ces motifs, la section santé du Comité sectoriel de la sécurité sociale et de la santé autorise les échanges de données à caractère personnel relatives à la santé précités dans le cadre du projet E-Care QERMID@tuteurs coronaires en vue de l’exécution de l’article 23, § 1er, de la loi du 14 juillet 1994 relative à l'assurance obligatoire soins de santé et indemnités. Yves ROGER Président Le siège du comité sectoriel de la sécurité sociale et de la santé est établi dans les bureaux de la Banque Carrefour de la sécurité sociale, à l’adresse suivante: quai de Willebroeck 38 - 1000 Bruxelles (tél. 32-2-741 83 11) 15 ANNEXE – Tableau récapitulatif des accès aux données pour E-Care QERMID@tuteurs coronaires Tâches Acteurs Rôle Accède à Encode Accord indispensable à l’envoi des données Oui Médecin spécialiste – Le cardiologue responsable pour la cardiologie interventionnelle (ou son remplaçant en cas d’absence) Médecin spécialiste - Le médecinspécialiste implanteur -Encode les données des demandes de remboursement - Signe la demande de remboursement Toutes les données de demandes de remboursement pour lesquelles il a été désigné comme cardiologue responsable et qu’il doit donc signer Les données liées à la demande de remboursement - Encode les données des demandes de remboursement Les données liées à la demande de remboursement Oui Le collaborateur administratif - Peut encoder les données pour le(s) médecin(s)spécialiste(s) pour le(s)quel(s) il est mandaté Les données liées à la demande de remboursement Non Le pharmacien hospitalier en chef - Peut encoder les données pour le(s) médecin(s)spécialiste(s) pour le(s)quel(s) il est mandaté - Facture les implants aux Organismes assureurs - Consulte la demande via le CIN Toutes les données des demandes de remboursement pour lesquelles il existe un lien thérapeutique entre lui et le patient Toutes les données des demandes de remboursement pour lesquelles il existe un lien thérapeutique entre le médecin-spécialiste pour lequel il est mandaté et le patient Toutes les données des demandes de remboursement pour lesquelles il existe un lien thérapeutique entre le médecin-spécialiste pour lequel il est mandaté et le patient Les données liées à la demande de remboursement Non Toutes les données des demandes concernant les patients affiliés à l’organisme assureur Toutes les données des demandes concernant les patients affiliés à l’organisme assureur Reçoivent de l’application des données chiffrées leur permettant d’effectuer la Aucunes données Non Aucunes données Non Aucunes données Non Le médecin conseil de l’organisme assureur. Le personnel administratif de l’organisme assureur. Le service des soins de santé de l’INAMI - Consulte la demande via le CIN -Vérifier que les hôpitaux respectent les limitations de 16 Les gestionnaires de données médicales de l’INAMI Le Collège des médecins eHealth CIN réintervention et de follow-up - Etablissent des statistiques permettant l’évaluation de la nomenclature - Rédaction du rapport annuel national - Fournit l’environnement sécurisé et les services de base nécessaires à la bonne marche des applications E-Care - Mettre les données des demandes de remboursement à disposition des Organismes Assureurs vérification Reçoivent de l’application Aucunes données des données codées au niveau du médecin et du patient, ainsi que des statistiques prédéfinies Reçoit de l’application des Aucunes données données anonymisées au niveau du médecin et du patient, ainsi que des statistiques prédéfinies Transmission de toutes les N.A données qui passeront par les applications E-Care Non Reçoit les notifications des demandes de remboursement Non Aucunes données Non N.A